Utilizar nuestros propios dispositivos para trabajar, no es nada nuevo, lo que si lo es desde hace unos meses es trabajar desde casa de forma habitual y masiva debido a la pandemia mundial. Esto ha abierto un problema “desconocido” en muchas organizaciones, pues hasta ahora, siempre se empleaban equipos corporativos gestionados y protegidos con las herramientas de la empresa.
El escenario de teletrabajo forzado impuesto por la COVID19 hace que de forma mucho más rápida de lo esperado, las empresas han tenido que adaptarse a que sus trabajadores puedan seguir cumpliendo con sus obligaciones de forma remota, muchas veces, de un modo un tanto improvisado, utilizando sus equipos personales. En algunos de estos casos, el empleado dispone de equipo con MacOS.
Por otro lado, en algunas empresas se tolera el BYOD para que un empleado que quiera trabajar con un equipo MacOS lo pueda utilizar, de tal modo que, en vez de usar un equipo con el Sistema Operativo común en la empresa, se permite el uso de Apple.
En ambos casos, estamos ante la situación de equipos con un sistema operativo distinto al habitual Windows, sobre el que muchas veces se suele oír, como pasa también con Linux, “… no hay virus…”, lo cual es erróneo. Si bien es cierto que el malware específico para los Sistemas Operativos de Microsoft es más numeroso debido a su cuota de mercado (más del 90%), los sistemas Linux y MacOS también tienen su ración. En este artículo, nos focalizaremos en los equipos de Apple, donde gracias a mis compañeros de Sophos Labs hemos podido obtener estadísticas sobre ellos.
Podemos categorizar las amenazas encontradas para MacOS en:
- Malware: programas específicamente diseñados para realizar acciones maliciosas
- PUA (Potential Unwanted Applications): Aplicaciones, muchas veces gratuitas, que sin aviso realizan acciones como informar de nuestros hábitos de navegación, cambiar anuncios, etc… como se suele decir, “…cuando algo es gratis, el producto eres tú…”.
- Hacktools: herramientas de post-explotación, usadas tras la infección para ganar persistencia, elevar privilegios, obtener permisos de root, etc…
Con todo ello, en los ataques detectados el mes pasado, gracias a las telemetrías de Sophos Labs pudimos ver, un volumen promedio diario de:
- 200 binarios diferentes
- Uso de 100 amenazas distintas
- 350 clientes
Es decir, cada día, 350 clientes de Sophos han sufrido un intento, fallido, de ataque para lo que se han empleado 200 binarios nunca antes vistos, nuevos, que han tratado de emplear 100 amenazas. Muchas veces, una misma amenaza, virus, es empaquetado de diferente forma para tratar de eludir las detecciones… aunque sin éxito.
Si vemos el “top 5” de amenazas, podemos ver:
- 69% OSX/VSearch
- 13% OSX/Keygen
- 11% OSX/FkCodec
- 4% OSX/Spynion
- 3% OSX/LoudMine
Si analizamos las “hacktools”, utilizadas para logar acciones en el objetivo, podemos ver la gran cantidad de distintas herramientas que hay disponibles para que los “malos” traten de logar su objetivo:
Finalmente, en los últimos tres meses, con la telemetría obtenida de Sophos Labs sobre los clientes de MacOS, hemos detectado:
- 5 millones de equipos protegidos con Sophos
- 10% de los equipos reportaron PUA
- 0,5% de los equipos reportaron malware
Llegados a este punto vemos que el malware para MacOS es una realidad, que si bien es, en números absolutos, inferior al encontrado para otras plataformas, existe y es un peligro que se acrecienta con la falsa sensación de protección sólo por el hecho de utilizar MacOS, haciendo al usuario más confiado y por ello, proclive a recibir el impacto de estos ataques.
Con todo ello, Sophos recomienda:
- Entornos corporativos: Sophos Central Intercept X Advanced (https://www.sophos.com/en-us/products/endpoint-antivirus.aspx)
- Equipos personales: Sophos Home (https://home.sophos.com/en-us.aspx)
Ambos productos son compatibles, además de Windows, con sistemas MacOS ofreciendo múltiples capas de protección:
- Protección en base a firmas
- Detección de PUA
- Detección de tráfico malicioso (conexiones a botnets, C&C)
- Protección antiransomware
- Protección de navegación:
- Filtro de 55 categorías
- Prevención de acceso a sitios maliciosos
- Interfaz de gestión web, en nube, sin necesidad de desplegar consolas locales, haciendo su administración muy sencilla, ya sea a nivel corporativo (Sophos Central) o a nivel doméstico (Sophos Home).
Todo esto hace que, a día de hoy, Sophos sea un producto recomendado según diferentes analistas, como por ejemplo, AV-Test (https://www.av-test.org/en/antivirus/business-macos/macos-catalina/march-2020/sophos-endpoint-9.9-201305/)